发现有十多个感染了Clicker Trojan恶意软件并通过Apple App Store分发的iOS应用程序,使用类似的Android广告欺诈活动的命令和控制服务器在后台执行与广告欺诈相关的任务。
与17个iOS应用程序捆绑在一起的恶意软件模块旨在与先前已知的命令和控制(C2)服务器进行通信,并且它可以模拟广告点击并在后台打开网页,而无需用户交互,从而开展了一次广告欺诈活动通过滥用所有iPhone,iPad和iPod可以妥协。
Wandera Threat Labs的研究人员解释说:“大多数单击器木马的目的是通过夸大网站访问量,为按点击付费的攻击者创造收入。”
他们还可以通过人为地夸大欠广告网络的余额来消耗竞争对手的预算。''
所有这些恶意应用程序都是由总部位于印度的AppAspect Technologies Pvt创建的。Ltd.是一家开发人员,在Apple App Store中总共发布了51个应用程序,并且在Google Play Store中也拥有28个Android应用程序。
正如Wandera的研究发现的那样,Android应用程序没有表现出与开发人员的iOS应用程序使用的C2服务器相关的任何恶意行为,但是“ AppAspect的Android应用程序过去曾经被感染并从商店中删除”,将在以后重新发布。 。
目前,研究人员说,尚不清楚恶意代码是由应用程序的开发人员有意添加还是在包含受到威胁的第三方框架后无意添加的。
恶意iOS应用作为通讯录,速度表或BMI计算器的类别广泛分发,其中包括但不限于生产力,平台实用程序和旅行。
研究人员说:“我们对开发人员的所有免费iTunes应用程序进行了测试,结果表明,在35个免费应用程序中,有17个都感染了相同的恶意点击器功能,并且正在与同一个C&C服务器通信。”
Wandera的研究人员还共享了已知已感染此Clicker Trojan模块的iOS应用的完整列表-除“我的火车信息-IRCTC和PNR”外,所有这些均已从App Store中删除:
• RTO车辆信息• EMI计算器和贷款计划器• 文件管理器-文档• 智能GPS车速表• CrickOne-实时板球比分• 日常健身-瑜伽姿势• FM Radio PRO-网络收音机• 我的火车信息-IRCTC和PNR(未列出)在开发人员配置)• 我身边将搜索• 易联系人备份管理器• 拉马丹时报2019专业版• 餐馆搜索工具-寻找食物• BMI计算器PRO - BMR计算器• 双账户临• 视频编辑器-静音视频• 伊斯兰世界PRO-Qibla• 智能视频压缩器
这个iOS Clicker Trojan模块使用的C2服务器与其操作员进行通信是由Dr.Web的研究人员首先发现的,这是非常相似的Android clicker Trojan活动的一部分。
正如他们当时所报道的那样,Android clicker Trojan恶意软件与通过Google Play商店分发的超过33个应用程序捆绑在一起,并在用户将其从商店中删除之前被用户下载了超过1亿次 -不幸的是,Apple的App Store不提供应用安装统计信息,因此无法知道此广告欺诈活动中有多少人使用了他们的iOS设备。
该木马被称为 Android.Click.312.origin,会在启动应用程序8小时后激活以逃避检测。 随后,Dr。Web研究人员在分析恶意活动时发现了另一个名为Android.Click.313.origin的变体。
在受感染的Android设备上执行后,恶意软件将开始收集系统信息,例如操作系统版本,设备的制造商和型号,用户的居住国家/地区,互联网连接类型,用户的时区以及带有Clicker的应用程序信息木马模块。
然后将信息存档并传送到C2服务器,该服务器回复有关命令和要执行和安装的新模块的信息。
Doctor Web的研究团队建议开发人员“负责任地选择模块以通过其应用程序获利,而不是将可疑的SDK集成到其软件中。”
Wandera告诉Bleeping Computer,iOS和Android广告欺诈活动共享相同的C2基础架构,并且他们目前正在调查因这项研究而浮出水面的其他IOC,并将发布后续报告。
Wandera的研究人员总结道: “这一发现是官方移动应用程序商店中出现的一系列不良应用程序中的最新发现,也是恶意软件确实影响iOS生态系统的另一个证明点。”
“移动恶意软件仍然是在野外鲜为人知的威胁之一,但我们发现它在针对性攻击场景中的使用率更高。”
建议用户检查所安装的应用程序是否来自合法的开发人员,并具有良好的评价,并始终确保他们不要求更多的权限以正常运行。
Wandera还建议安装移动安全解决方案,该解决方案将阻止恶意应用与其C2服务器通信,以保护您的数据免遭收获和被盗。
使用安全软件保护您的设备还可以帮助彻底限制恶意软件的功能,并至少消除其某些破坏性潜力。